Le Comité européen de la protection des données (CEPD) a adopté le 24 mai dernier de nouvelles lignes directrices afin de mieux gérer les amendes attribuées aux entreprises qui enfreignent le règlement général sur la protection des données (RGPD). En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui décide ou non d’attribuer ces sanctions financières.
Le CEPD aide les régulateurs européens à sanctionner à juste titre les entreprises fautives
La première des deux lignes directives a pour objectif « d’harmoniser les méthodes de calcul des amendes administratives pouvant être prononcées par les autorités nationales, » à savoir la CNIL sur le sol français. Comme le précise un communiqué, une première version a tout d’abord été approuvée le 12 mai 2022. Elles incluaient la présentation d’une méthode de calcul en cinq étapes :
- L’établissement de l’ensemble des cas de comportement sanctionnables afin de savoir s’ils ont conduit à une ou plusieurs infractions ;
- L’établissement d’une somme minimale, considérée comme point de départ pour le calcul de l’amende, et définie par l’autorité nationale ;
- Tenir compte des facteurs aggravants ou atténuants ;
- Déterminer les plafonds légaux des amendes afin que les montants attribués ne les dépassent pas ;
- Analyser si le montant final répond aux exigences d’efficacité, de dissuasion, de proportionnalité en fonction du contexte et de l’entreprise. Ajuster la valeur si nécessaire.
Si ces cinq étapes constituent le socle de la ligne directrice sur le calcul des amendes administratives, le Comité européen souhaitait que la population européenne puisse donner leur avis. De ce fait, une consultation publique a été lancée du 12 mai au 27 juin 2022. Elle a abouti à la mise à disposition d’un tableau de référence permettant d’aider les autorités à mieux analyser la gravité d’une infraction en corrélation avec le chiffre d’affaires de l’entreprise visée.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Les autorités nationales ont la possibilité de donner leur avis sur un projet de sanction
La deuxième ligne directrice met en lumière la procédure d’adoption de décision contraignante par le CEPD. C’est en avril 2021 que le Comité avait adopté la première version de cette mesure visant à « clarifier la procédure de résolution des litiges entre autorités de protection des données ».
Elle invite grandement les autorités nationales à se conformer à l’article 65.1.a du RGPD. Concrètement, lorsqu’un ou plusieurs régulateurs nationaux formulent une objection pertinente et motivée à l’égard d’un projet de décision de l’autorité chef de file, c’est-à-dire celle où se situe le siège social européen de l’entreprise, une décision contraignante est adoptée. Cela oblige l’autorité cheffe de file à prendre en compte toutes les objections afin de prendre sa décision finale.
Toutefois, c’est toujours ce régulateur qui possède le dernier mot dans l’établissement des sanctions. Dans un registre semblable, la Cour de Justice de l’Union européenne (CJUE) a récemment donné raison aux big tech suite à la volonté du KommAustria, de les réguler avec plus de sévérité. Désormais, les régulateurs des pays membres de l’UE ne pourront pas dicter des obligations plus sévères que celles du en vigueur dans le pays où se situe le siège social du géant technologique.